世界を動かす技術を、日本語で。

Notepad++が国家支援の攻撃者に乗っ取られる

概要

  • Notepad++公式サイトが インフラレベルで攻撃 を受けた経緯
  • 2025年6月から12月2日 まで攻撃者による不正アクセスが継続
  • アップデート配信の改ざん を目的とした標的型攻撃
  • 全対策完了 と今後のセキュリティ強化策の導入
  • ユーザーへの 謝罪と再発防止策 の説明

Notepad++公式サイトに対するインフラレベルの攻撃概要

  • 2025年6月より、 Notepad++公式サイトのインフラ が攻撃対象
  • 攻撃は ホスティングプロバイダーのサーバー レベルで発生
  • Notepad++本体の脆弱性 が直接利用された形跡なし
  • 一部のユーザーのみが 攻撃者サーバーへ誘導 される標的型攻撃
  • 中国の国家支援グループ によるものと複数の独立系研究者が分析

攻撃の詳細と調査結果

  • 攻撃者は アップデート配信先の通信を傍受・リダイレクト
  • 2025年9月2日まで サーバー本体が侵害されていた
  • サーバー侵害後も 内部サービス用認証情報 が流出し、 12月2日まで一部攻撃継続
  • 攻撃者は Notepad++ドメイン のみを標的
  • 他の共有サーバーや顧客への波及なし
  • 2025年12月2日 以降、全ての不審な挙動が消失

ホスティングプロバイダーの対応と再発防止策

  • サーバーの カーネル・ファームウェア更新 による不正アクセス遮断
  • 認証情報の全ローテーション を実施
  • サーバーログ調査により他システムへの被害なしと確認
  • 攻撃再発防止のための 脆弱性修正再侵害試行の阻止 を確認

ユーザー側への推奨対応

  • SSH、FTP/SFTP、MySQL の認証情報変更
  • WordPress管理者アカウントの見直し・不要ユーザー削除
  • WordPressプラグイン・テーマ・本体の 最新化と自動更新 の有効化

Notepad++側の追加対策

  • 新ホスティングプロバイダー への全面移行
  • アップデーター(WinGup)に 証明書・署名検証機能 を追加(v8.8.9)
  • アップデートサーバーの XML応答にXMLDSig署名 を付与
  • v8.9.2以降、 証明書・署名検証の強制適用
  • セキュリティ強化による 再発防止の徹底

期間と影響範囲のまとめ

  • 攻撃期間:2025年6月~12月2日
    • セキュリティ専門家は 11月10日終了 と分析
    • プロバイダー側は 12月2日まで可能性 を指摘
  • 影響範囲:Notepad++アップデート配信経路
  • ユーザーへの謝罪 と今後の信頼回復への取り組み

今後の展望とメッセージ

  • 全ての対策が完了 し、現時点で攻撃者の痕跡なし
  • 今後も セキュリティ強化を継続
  • ユーザーの信頼回復と安全確保への 強い決意

Hackerたちの意見

すごいな。ターゲットにされたシステムがどうやって侵害されたのか、もっと知りたいな。

たぶん、スパイやデータの抜き取り、コントロールのために脆弱性のあるアップデートを押し付けて、エンドユーザーのマシンにバックドアを仕掛けてるんじゃないかな。

同意。サプライチェーン攻撃は怖いよね。NPPでいろんな秘密を開いてるけど、全部漏れちゃったのかな?

誰がターゲットになったのかも気になる。今のメッセージはすごく曖昧だね。

詳細は下のリンクにあるよ:https://www.heise.de/en/news/Notepad-updater-installed-malwa... https://doublepulsar.com/small-numbers-of-notepad-users-repo... 要するに、Notepad++の8.8.7バージョンまでは、開発者が自己署名証明書を使ってたんだ。これがGithubのソースコードにあったんだよね。著者はベストプラクティスを守らなかったから、こうなった。で、「良いニュース」としては、攻撃はかなりターゲットを絞ったもので、アジアの人たちに対するキーボード操作を伴う攻撃だったみたい。ホスティング会社を責めるのはちょっと怪しいよね。著者も少なくともある程度の責任はあるはずだから。

おそらくこれに関係してるね: https://notepad-plus-plus.org/news/v869-about-taiwan/

そうそう、Notepad++はアップデートで政治的なメッセージを発信することで有名だよね。台湾やウクライナとか。

それとこれね https://notepad-plus-plus.org/news/v781-free-uyghur-edition/ 彼らのGHページが中国語で書かれた問題で溢れてたのをはっきり覚えてる。

こういうツールにはいつも心配してる。小さなチームがメンテしてるのに、すごく普及してるから、たとえインストールの一部が悪意のある人に乗っ取られたとしても、多くのテック企業にとっては攻撃の隙間が広がっちゃうんだよね。例えば、iTermやCyberduck、いろんなエディタ、VSCodeの拡張機能とか。

同じように、これらのアプリが自動でアップデートすることに不安を感じてる。安全にできることは分かってるけど、こういう会社がそのためにエンジニアリングの努力をしてるとは思えない。

大企業がこの問題に免疫があると思ってるなら、痛い目見るよ。

なんでみんな—絶対に全員—Little Snitchを使わないの?俺には、macOSユーザーがこんなネットワークファイアウォールを使わない理由が全く理解できない。不要なHTTP(s)リクエストをブロックするために、WiresharkやBurp Suite Professional(またはCommunity版)などのツールでパケットを簡単に確認できるし、macOSエコシステムには他にもたくさんのプロキシツールがあるよ。これはmacOS特有のことじゃなくて、WindowsやLinux、他のOSでも可能なんだから。

Hacker Newsで議論の続きを見る